Kritik Keamanan DifyTap: 4 Celah di Dify Bisa Bocorkan Chat AI Antar Tenant

Peneliti keamanan siber baru-baru ini mengungkapkan empat kerentanan serius pada platform open-source Dify, yang berpotensi memungkinkan pelaku jahat membaca percakapan AI milik pelanggan lain tanpa perlu otentikasi. Dify, sebuah platform agen workflow dengan lebih dari 146.000 bintang di GitHub, menghadapi risiko keamanan yang memengaruhi data pengguna di lingkungan multi-tenant-nya.

Celah DifyTap yang Mengancam Privasi Chat AI Antar Tenant

Kerentanan ini diberi nama DifyTap oleh tim Zafran Security. Dua di antaranya memiliki tingkat keparahan kritis, dua lainnya tidak memerlukan otentikasi, dan semuanya memiliki dampak lintas tenant pada layanan cloud multi-tenant Dify.

"Dua di antaranya kritis, dua tidak memerlukan otentikasi, dan tiga memiliki dampak lintas tenant sehingga data pelanggan satu bisa terekspos ke yang lain," jelas peneliti Ido Shani dan Gal Zaban.

Kerentanan ini memungkinkan pelaku untuk mengakses chat AI pribadi milik pelanggan lain secara diam-diam, menciptakan jalur tersembunyi untuk mengekstrak pesan dan respons model secara berkelanjutan. Selain itu, celah ini memungkinkan pelaku mengakses API internal Plugin Daemon tanpa otentikasi dan melakukan panggilan API lintas tenant.

Detail Kerentanan dan Dampaknya

Berikut rincian kerentanan yang ditemukan:

1. CVE-2026-41947 (CVSS 9.1): Bypass otorisasi yang memungkinkan editor terautentikasi mengatur konfigurasi jejak untuk aplikasi manapun tanpa memperhatikan kepemilikan tenant.
2. CVE-2026-41948 (CVSS 9.4): Path traversal yang memungkinkan pengguna terautentikasi memanipulasi permintaan ke API internal Plugin Daemon dengan sanitasi URL yang tidak memadai.
3. CVE-2026-41949 (CVSS 7.5/5.9): Bypass otorisasi pada endpoint preview file, memungkinkan pengguna membaca hingga 3.000 karakter dokumen yang diunggah oleh tenant lain hanya dengan UUID file.
4. CVE-2026-41950 (CVSS 6.5): Bypass otorisasi yang memungkinkan pengguna membaca isi penuh file yang diunggah pengguna lain dalam tenant yang sama dengan menyediakan UUID file arbitrer.

Selain itu, ditemukan pula kerentanan pada tumpukan parsing file Dify yang menggunakan versi PDFium rentan terhadap CVE-2024-5846, bug use-after-free yang memungkinkan eksploitasi korupsi heap melalui file PDF berbahaya.

Bagaimana Pelaku Bisa Memanfaatkan Celah Ini?

Pemeriksaan kepemilikan tenant yang hilang memungkinkan pelaku mengalihkan seluruh pesan dan respons dari aplikasi korban ke penyedia jejak LLM yang dikendalikan penyerang. Karena siapa saja dapat mendaftar akun Dify secara gratis, potensi eksploitasi menjadi sangat luas.

"Penyerang dapat mengonfigurasi pelacakan mereka sendiri untuk aplikasi apa pun yang bisa mereka akses sebagai klien, termasuk semua aplikasi yang dapat diakses publik," tambah para peneliti. "Ini memungkinkan penyerang membuat saluran eksfiltrasi persisten untuk semua pesan dan respons yang dikirim dalam aplikasi."

Update dan Tindakan Perbaikan

Setelah pelaporan secara bertanggung jawab, semua kerentanan kecuali CVE-2026-41948 telah diperbaiki dalam versi 1.14.2 yang dirilis bulan lalu. Perbaikan untuk kerentanan yang tersisa diharapkan hadir di rilis Dify berikutnya.

Tim Dify menyatakan bahwa kasus DifyTap ini menunjukkan tantangan dalam visibilitas kerentanan, khususnya pada image container, di mana perbedaan antara deployment dapat menciptakan celah yang tidak terdeteksi oleh pemindai tradisional.

Analisis Redaksi

Menurut pandangan redaksi, pengungkapan kerentanan DifyTap ini menjadi peringatan serius bagi platform berbasis cloud multi-tenant, khususnya yang mengelola data sensitif seperti percakapan AI. Risiko kebocoran data antar tenant dapat merusak kepercayaan pengguna dan menimbulkan implikasi hukum terkait perlindungan data pribadi.

Lebih jauh, celah yang memungkinkan eksploitasi tanpa otentikasi menunjukkan bahwa keamanan lapis pertama harus diperkuat, termasuk validasi kepemilikan data yang ketat dan sanitasi input yang menyeluruh. Adanya kerentanan pada infrastruktur open-source populer seperti Dify juga menggarisbawahi pentingnya audit keamanan berkala dan kolaborasi komunitas.

Kedepannya, publik dan pengembang harus memantau pembaruan keamanan Dify dengan cermat dan menerapkan patch secepat mungkin. Tren peningkatan serangan terhadap layanan AI multi-tenant menuntut kesiapsiagaan yang lebih tinggi di seluruh ekosistem teknologi.

Untuk informasi lebih lanjut dan update terkini tentang keamanan AI dan cloud, pantau terus liputan kami di The Hacker News serta sumber berita teknologi terpercaya lainnya.